Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Powershell: Passwort ohne Komplexität funktioniert nicht!

Frage Microsoft Windows Server

Mitglied: gabeBU

gabeBU (Level 1) - Jetzt verbinden

18.03.2014, aktualisiert 19.03.2014, 3344 Aufrufe, 9 Kommentare, 3 Danke

Hallo Zusammen

Für die MAC-AUthentifikation benötige ich als Benutzername und Passwort eine MAC-Adresse, die exakt 1 zu gleich sein muss und sie muss gleich geschrieben werden. Habe ich eine kleine Testumgebung, auf der sonst nichts weiteres läuft, deswegen habe ich in der Default-Policy alles bezüglich Kennwortkomplexität abgestellt und auch extra in einer Organisationseinheit die Kennwortrichtlinien erneut in einer GPO definiert. Nun habe ich folgendes Problem

Ich möchte gerne per Powershell das Passwort auf die MAC-Adresse ändern, leider kriege ich immer noch die Meldung, dass das Passwort nicht komplex genug sei. In der Oberfläche von Microsoft funktioniert das Zurücksetzen aber problemlos.

Gibt es da noch eine Powershell-Bezogene einstellung? Folgendes habe ich schon versucht:

-Server neustarten
-gpupdate /force in der Selben Konsole wie auch der Set-ADAccountPasswort-Befehl gemacht wurde

Und da wüsste ich jetzt auch nicht, was ich sonst noch tun könnte. Ich habe noch einen zweiten DC, aber der übernimmt ja einfach die Einstellungen, die ich auf dem ersten treffe und alle Befehle habe ich auch auf meinem HauptDC ausgeführt.

Danke für eure Antworten

Gruss

gabeBU
Mitglied: schmitzi
19.03.2014 um 01:29 Uhr
Hi,

könnte es sein dass der 2. DC sich nicht aktualisiert (GPOs) und der Client
ausgerechnet auf den zugreift (mit noch "komplexer" PW-GPO ?

Schau mal CMD -> SET LOG welcher DC am Client angezeigt wird

Gruss
RS
Bitte warten ..
Mitglied: gabeBU
19.03.2014 um 13:04 Uhr
Werde ich machen, aber ich arbeite direkt auf dem Server, trotzdem danke für den Tipp.
Bitte warten ..
Mitglied: colinardo
19.03.2014, aktualisiert um 14:09 Uhr
Hi,
poste mal bitte was Get-ADDefaultDomainPasswordPolicy ausgibt...
Und setze mal MinPasswordAge auf 0 Tage. Ist die minimale Passwortlänge auch nicht auf länger als eine MAC-Adresse lang ist gesetzt (17 Zeichen bei Verwendung von Trennzeichen / 12 ohne)?

Grüße Uwe
Bitte warten ..
Mitglied: gabeBU
19.03.2014, aktualisiert um 14:34 Uhr
Die Mininmale Passwort länge habe ich auf "0" gesetzt....ich dachte ,das wäre sinnvoller...könnte das heissen, das ich gerade mir ein Eigentor geschossen habe, weil jetzt Passwörter keine länge mehr haben dürfen? Dann habe ich da wohl was falsch verstanden...

Ich muss die MAC-Adresse ohne Trennzeichen setzen, deswegen nur 12 Zeichen, aber ich werde es einstellen.

Das MinPasswordAge kann ich nur ändern, wenn ich auch das maxpasswordage ändere. Habe ich jetzt mal gemacht, diese Konfiguration nutze ich jetzt:


01.
ComplexityEnabled           : False 
02.
DistinguishedName           : DC=IPA,DC=LOKAL 
03.
LockoutDuration             : 00:30:00 
04.
LockoutObservationWindow    : 00:30:00 
05.
LockoutThreshold            : 0 
06.
MaxPasswordAge              : 999.00:00:00 
07.
MinPasswordAge              : 00:00:00 
08.
MinPasswordLength           : 12 
09.
objectClass                 : {domainDNS} 
10.
objectGuid                  : 1dcbbaf6-29c7-49a7-a7bb-b72121f0a4de 
11.
PasswordHistoryCount        : 24 
12.
ReversibleEncryptionEnabled : True
Wie immer anschliessend eine Powershell auf dem Server geöffnet, als Administrator ausgeführt und per gpupdate /force auf dem eigenen Server die Gruppenrichtlinie aktualisiert, doch leider funktioniert es immer noch nicht.

Edit: Aaalso

Ich habe mal alle Gruppenrichtlinienobjekte gelöscht, die ich in letzter Zeit angelegt habe und habe den Server neugestartet. Das heisst, von den Gruppenrichtlinien her ist jetzt alles flach und es ist nur noch die Domain Policy da. Dort habe ich die Kennwortkomplexität deaktiviert und sonst alles undefiniert, funktioniert nicht.

Dann habe ich alle Werte auf "0" gestellt, kennwortkomplexität deaktiviert, funktioniert auch nicht und schlussendlich alles undefiniert, ging auch nicht.

Dann habe ich die Default Domain policy in jeder Organisationseinheit einzeln verknüpft, was auch nicht ging.

Langsam gehen mir die Ideen aus^^.

edit 2 : Okay, jetzt wird es wirklich seltsam...

ich habe es erneut versucht und beim Passwort zusätzlich zur MAC-Adresse eine "1" hinten angesetzt, dann klappte es. Soweit müsste das heissen, dass es bei der Powershell irgendwie eine regelung gibt, dass das Passwort 13 Zeichen lang sein muss, was mich verwirren würde.






EDIT 3: Gut, ich habe es rausgefunden. Es lag wohl daran, dass ich ein älterer MAC-Adressenbenutzer genommen habe, den ich vor diesen GPO-Änderungen genutzt habe. Die Benutzer habe ich neu angelegt und jetzt funktioniert auch das Passwort-setzen.
Bitte warten ..
Mitglied: colinardo
19.03.2014, aktualisiert um 14:23 Uhr
Zitat von gabeBU:
Die Mininmale Passwort länge habe ich auf "0" gesetzt....ich dachte ,das wäre sinnvoller...könnte das
heissen, das ich gerade mir ein Eigentor geschossen habe, weil jetzt Passwörter keine länge mehr haben dürfen? Dann
habe ich da wohl was falsch verstanden...
Die minimale Passwortlänge sagt aus das ein Passwort minimal so lang sein muss.. du kannst sie also auch auf 8 setzen, auf 13 hätte sie nicht stehen dürfen, dann entspräche die MAC als Passwort nicht den Anforderungen.
Wie immer anschliessend eine Powershell auf dem Server geöffnet, als Administrator ausgeführt und per gpupdate /force
auf dem eigenen Server die Gruppenrichtlinie aktualisiert, doch leider funktioniert es immer noch nicht.
klar Neustart gehört danach zur Pflicht ! ist ja eine Computer-Policy ...
Langsam gehen mir die Ideen aus^^.
dann ist bei dir was oberfaul, geh mal in die Kennwortverwaltung von Windows und lösche dort alle Hinterlegten Passwörter raus, dann meldest du dich ab und nochmal neu an ...manchmal gibt es dort mit Hinterlegten Adminpasswörtern Probleme die solche komischen Fehler in der Powershell verursachen.

dass es bei der Powershell irgendwie eine regelung gibt, dass das Passwort 13 Zeichen lang sein muss, was mich verwirren würde.
definitiv NEIN. Die Powershell macht hier keine Extrawurst !

Ich vermute eher dein Script hat eine Macke

Grüße Uwe
Bitte warten ..
Mitglied: gabeBU
19.03.2014 um 14:49 Uhr
Also, alles funktioniert jetzt, ich musste nur den Nutzer neu anlegen, dann konnte ich auch sein Passwort anlegen.

Zudem muss ich wie es scheint immer in der Default Domain Policy die Kennwortrichtlinie deaktivieren und kann das Passwort setzen nicht später über eine GPO in der entsprechenden OU setzen, oder ich muss mich da noch weiter einlesen.

Jedenfalls danke für eure Tipps.
Bitte warten ..
Mitglied: colinardo
19.03.2014, aktualisiert um 15:10 Uhr
Zitat von gabeBU:
Zudem muss ich wie es scheint immer in der Default Domain Policy die Kennwortrichtlinie deaktivieren
ähm, das hatte ich vorausgesetzt!
oder ich muss mich da noch weiter einlesen.
yip, Lesen ist immer gut:
    - Kennwortrichtlinien 
    - Kontosperrungsrichtlinien 
    - Kerberosrichtlinien  
Diese 3 Einstellungen sind nur auf Domänen Ebene möglich und sind zwingend bindend für alle Objekte, die im Active Directory verwaltet werden. Man kann keine unterschiedlichen Werten für verschiedene Benutzergruppen oder ähnliches definieren. 
 
Jede an anderen Stelle konfigurierte Kennwortrichtlinie hat nur Auswirkungen auf die LOKALEN Benutzerkonten der betreffenden "Computer" in der OU, auf der diese Richtlinie wirkt.
Wenn mehere Richtlinien gefordert sind macht man das mit mehreren PSOs (Password Settings Objects):
http://technet.microsoft.com/de-de/library/cc754461%28v=ws.10%29.aspx
Bitte warten ..
Mitglied: gabeBU
19.03.2014 um 15:10 Uhr
Hmm...ja, habe ich auch beim rumlesen herausgefunden...

nein, natürlich habe ich jetzt beim Testen die Kennwortrichltinie deaktiviert, nur habe ich gehofft, ich könnte es trotzdem noch in der OU definieren...das ist aber ärgerlich...

Naja, danke für die Tipps und dann kann ich so auch weiter arbeiten :3.
Bitte warten ..
Mitglied: schmitzi
21.03.2014 um 01:43 Uhr
Zitat von colinardo:

> Zitat von gabeBU:
> Zudem muss ich wie es scheint immer in der Default Domain Policy die Kennwortrichtlinie deaktivieren
ähm, das hatte ich vorausgesetzt!

Räusper, bin ich auch von ausgegangen. Den User neu anlegen hättest Du Dir sparen können :O)

> oder ich muss mich da noch weiter einlesen.

ja sicher

aber wie immer: Hauptsache läuft, und zwar nicht das Bein runter :O)
Gruss
RS
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Powershell: Verschüsseltes Passwort verwenden
gelöst Frage von SaschaRDBatch & Shell5 Kommentare

Hallo zusammen, das Passwort eines Domain-Benutzers, welcher Daten vom Dateisystem kopiert, soll verschlüsselt werden. Derzeit steht es in den ...

Windows Server
Kennwortrichtlienen Komplexität lässt sich nicht ausschalten
gelöst Frage von MaffiWindows Server15 Kommentare

Hallo Admins, ich habe eine AD (Server 2008 R2 Standart x64), hier möchte ich unsichere Kennwörter (Intrant) verwenden. ich ...

Windows Server
AD Password Komplexität anpassen
gelöst Frage von enduranceWindows Server3 Kommentare

Hallo zusammen Wenn ich im nachhingen die Passwort Komplexität für alle User (default GPO) anpasse, müssen dann alle User ...

Batch & Shell
Powershell If-Schleife funktioniert nicht
gelöst Frage von windelterroristBatch & Shell5 Kommentare

Hallo Admins Arbeite gerade an einem kleinen Script funktioniert aber nicht so, wie ich mir das vorstelle Mein Code: ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 15 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 17 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.